< Back
Malicious hacker in front of a screen

Tags:

Threat intelligence
12 August 2025

Resumen Semanal de los ciberataques 05-11 junio

FIN6 usa ofertas laborales falsas para descargar malware desde la nube 

El grupo de amenazas FIN6, también conocido como Skeleton Spider, ha intensificado su actividad delictiva mediante campañas de phishing dirigidas a reclutadores, simulando ser postulantes a empleos en plataformas como LinkedIn o Indeed. Estos actores de amenazas emplean dominios que imitan nombres reales para enviar correos con enlaces disfrazados de currículums. Para eludir los filtros de seguridad automatizados, los mensajes no contienen hipervínculos clicables, sino direcciones web que los destinatarios deben copiar y escribir manualmente en el navegador. Tras superar barreras como CAPTCHAs y filtros de IP y sistema operativo, las víctimas acceden a sitios alojados en infraestructura confiable como AWS, que descarga un archivo ZIP con un malware oculto: more_eggs. Este malware, que permite el robo de credenciales y ataques adicionales, se distribuye mediante archivos .LNK disfrazados y técnicas que dificultan su detección. FIN6 aprovecha servicios en la nube, anonimato en el registro de dominios y métodos evasivos para mantener activa su infraestructura y evitar los análisis de seguridad. Los investigadores alertan sobre la necesidad de reforzar controles técnicos y capacitar a personal de RR.HH. para evitar este tipo de ataques. 

El NHS lanza un llamamiento urgente para donaciones de sangre tras ciberataque 

El Servicio Nacional de Salud británico (NHS) ha lanzado un llamamiento urgente para que un millón de personas en Inglaterra donen sangre esta semana, debido a que las reservas siguen siendo bajas tras un ciberataque sufrido el año pasado. Solo el 2% de la población sostiene actualmente los niveles de sangre necesarios, y se advierte del riesgo de alcanzar una alerta roja, que implicaría que la demanda supera la capacidad de suministro, poniendo en peligro la seguridad pública. La situación se agravó por un ataque de ransomware, que interrumpió los servicios de patología y obligó a los hospitales a recurrir con mayor frecuencia a sangre del tipo O, el más seguro para transfusiones de emergencia. Esto dejó las reservas nacionales en una situación muy frágil. Además, aún no se ha informado a muchos de los más de 900.000 pacientes afectados sobre qué datos personales fueron expuestos, entre los que figuran detalles altamente sensibles sobre enfermedades graves. 

OpenAI bloquea cuentas de ChatGPT utilizadas por hackers de Rusia, China e Irán 

OpenAI ha suspendido cuentas de ChatGPT utilizadas por actores de amenazas procedentes de Rusia, China e Irán que empleaban la inteligencia artificial para apoyar actividades cibernéticas ilegales. Entre ellas, se incluyen el desarrollo de malware, la automatización de redes sociales y la recopilación de información sobre tecnologías de comunicación por satélite de EE.UU. Uno de los grupos rusos, mediante múltiples cuentas desechables, perfeccionó malware en el lenguaje de programación Go para luego difundirlo disfrazado como una herramienta legítima para videojuegos. El código robaba datos del navegador y evadía sistemas de defensa. Dos grupos chinos, APT5 y APT15, usaron el modelo para tareas como la administración de sistemas Linux, el desarrollo de software, ataques de fuerza bruta a servidores FTP y la manipulación automatizada de redes sociales. También se detectaron operaciones vinculadas a Corea del Norte, Filipinas, Camboya e Irán, que emplearon ChatGPT para campañas de desinformación y fraudes laborales en múltiples idiomas. OpenAI subrayó que ninguna de estas actividades fue masiva, pero demuestran el potencial abuso de la IA por parte de actores de amenazas. 

Detectan sofisticado ataque a iPhones de altos perfiles en EE. UU. y Europa 

Investigadores de ciberseguridad han descubierto evidencia de explotación de una vulnerabilidad crítica en iPhones mediante ataques zero-click a través de iMessage, dirigidos a individuos vinculados a campañas políticas, medios, gobiernos y empresas de inteligencia artificial en EE. UU. y la Unión Europea. La vulnerabilidad, bautizada como “NICKNAME”, afectaba al proceso “imagent” del sistema operativo iOS y fue corregido por Apple en la versión 18.3.1. Aunque no se puede confirmar con certeza la explotación, los investigadores detectaron patrones de comportamiento anómalos, como bloqueos extremadamente raros y eliminación masiva de archivos, en seis dispositivos pertenecientes a objetivos de alto valor. Dos de ellos mostraron claros signos de haber sido comprometidos. La investigación sugiere que la amenaza persiste y subraya la necesidad de reforzar la seguridad móvil incluso en plataformas consideradas seguras.

Detectan nueva variante de Chaos RAT, un software legítimo convertido en herramienta de ciberataques 

Investigadores han descubierto nuevas variantes del malware Chaos RAT, una herramienta de administración remota de código abierto escrita en Go, que ha sido reutilizada por ciberdelincuentes para espiar, robar información y preparar ataques con ransomware. Aunque su uso aún es limitado, su bajo índice de detección y compatibilidad con sistemas Windows y Linux lo convierten en una amenaza sigilosa. Uno de los ataques más recientes engañaba a las víctimas para que descargaran una falsa utilidad de diagnóstico de red en Linux. Además, se identificó una vulnerabilidad crítica en el panel de control del propio Chaos RAT, que permite la ejecución remota de código, e incluso fue explotada en una demostración que hizo sonar la canción “Never Gonna Give You Up”. Esta situación ilustra cómo el software de código abierto, aunque legítimo, puede convertirse en un peligro cuando cae en manos maliciosas.